谷歌披露《堡壘之夜》安卓漏洞引Epic不滿:不該這么做
作者:丶阿難 更新于:2020-03-09 08:00:57 1058
最近,谷歌的安全專家提前披露了《堡壘之夜》安卓漏洞,這引起了廠商Epic的非常不滿。下面一起來看看吧。
起始
該漏洞允許惡意用戶或應用程序劫持《堡壘之夜》下載進程,并將下載路由遠離Epic的服務器以安裝完全不同的東西。這被稱為磁盤中的人(MitD)攻擊。Google沒有義務在Epic的安裝程序中查找漏洞。但可能是為了防止漏洞,不使安卓平臺名聲受損。Google于8月15日上午7點在PT發現了該漏洞,并立即私下通知了Epic Games。
在7分鐘內,Epic承認了這一漏洞。10個小時后,Epic確認他們復制了這個漏洞并正在修復。第二天,8月16日太平洋時間下午4:12,Epic表示他們已經為玩家部署了一個修復程序。
泄露
補丁發布2小時后,Epic要求Google隱瞞漏洞利用的詳細信息。該請求為期90天,以便玩家有足夠的時間來修補他們的設備。
令Epic感到沮喪的是,Google在將補丁部署到玩家后僅7天就開始宣傳此漏洞。而Google的錯誤披露指南明確規定,他們會在前90天內披露錯誤。
反映
正如所料,Epic Games對此決定不滿意。
Epic Games首席執行官兼虛幻引擎創始人Tim Sweeney向Mashable提供了以下聲明:
Epic真的很感謝Google在Android上發布后立即對Fortnite進行深入的安全審核,并與Epic分享結果,以便我們能夠快速發布更新來修復他們發現的漏洞。
然而,谷歌公開披露該漏洞的技術細節是不負責任的,而許多裝置尚未更新,仍然容易受到攻擊。
谷歌的安全分析工作受到贊賞并受益于Android平臺,但像谷歌這樣強大的公司應該實施比這更負責任的披露時間,并且在反對公關在Google Play之外發布Fortnite的反公關努力中不會危及用戶。
谷歌方表示:用戶安全是我們的首要任務,作為我們主動監控惡意軟件的一部分,我們在Fortnite安裝程序中發現了一個漏洞。我們立即通知了Epic Games,他們解決了這個問題。
